DNSとDDoSについて

asert_authors

投稿者:Carlos Morales、Steinthor Bjarnason
投稿アーカイブ:DDoS Tools and Services

グローバルなDNSインフラは、IPアドレスの見かけ上ランダムなセット(1.1.1.1など)をインターネット利用者が認識可能な名前(www.myfavoritestore.comなど)にマッピングする重要な機能を提供しています。DNSシステムは、グローバルなレベルに拡張するために、マルチレベルのリファレンスネットワークとして設計されています。これにより、インターネット上のあらゆるユーザーが特定ドメインの存在位置を繰り返し検索する一連のサーバーに問い合わせを行い、その位置のIPアドレス・マッピングに対する名前の取得が可能になります。これを実現するために、DNSシステムは、トップレベルドメイン(.com、.gov、.orgなど)を制御するルートサーバー、地域型ドメイン(.br、.fr、.ukなど)を制御するグローバル・トップレベル・ドメイン(TLD)、特定ドメイン(myfavoritestore.comなど)を制御する権威サーバー、エンドユーザーシステムと接続する非常に大規模なリカーシブリゾルバのグループで構成されています。ドメイン名についてのユーザーのクエリはリカーシブリゾルバに送信され、そのリゾルバがルート、GTLD、各種レベルの権威サーバーと、受信されるDNSリプライから、ドメインを管轄するDNS権威サーバーを突き止めます。これは極めて高度かつシンプルな表現形式であり、DNSが使用される方法として最も普及しています。

DNSについては、考慮しなければならないセキュリティ上の項目が数多くあります。DDoS攻撃は、DNSネットワークの可用性に対する主要な脅威です。DNSリカーシブサーバーに対するDDoS攻撃は、ネットワーク(ISPまたはケーブルモデムプロバイダなど)のDNS解決要求を局所的に遮断する可能性があり、ユーザーがドメインの名前解決をまったくできなくなります。

権威ドメインに対するDDoS攻撃では、特定ドメイン名(www.myfavoritestore.comなど)またはドメイングループのDNS解決要求を遮断する可能性があります。最近のDynにおける攻撃はこの種の脅威の一例です。

ルートまたはGTLDシステムに対するDDoS攻撃は、一国のすべてのドメインまたはドメインのクラス全体(.comなど)に影響を及ぼす可能性があります。2015年12月には、トルコのドメイン「.tr」を管轄するDNSサーバーに対して大規模なDDoS攻撃がありました。これはフラッディング攻撃で、DNSサーバーが管轄能力を失い、.trドメイン内のウェブサイトに対するDNSクエリに応答できなくなりました。これは、いろいろな意味で直接的なウェブサイト攻撃よりも効果的な方法であり、DNSサーバーをダウンさせることで、ほとんどのユーザーが実IPアドレスに対してウェブサイトの名前解決ができないようにし、ウェブサイトをアクセス不能にしました。(http://www.dailydot.com/layer8/turkey-ddos-attack-tk-universities/

DNSのオペレーターは、DDoS攻撃を防御する対策を講じることが大いに推奨されます。下のグラフでは、TCP port 53またはUDP port 53のいずれかを標的とした、年始からのなりすましイベント数を示しています(DNSサーバーはTCPポート53やUDPポート53で待ち受けを行う場合があります)。これらは世界中に配備したArbor SPシステムについての2週間ごとのデータです。例えば、TCP/53またはUDP/53を標的としたイベントが、1月4日~17日は6,490回、18日~31日は9,300回発生しています。

dyn_ddos

合計すると、そうしたイベントが年始から33万7,000回超も発生しており、平均すると8,000回/週となります。

オリジナルのDNS実装は、ほとんどのコンポーネントにわたって絶対的な信頼をもって構築されていました。リカーシブリゾルバは、DNSに接続するユーザーを信頼することになります。ルート、GTLD、権威サーバーは、送信されたクエリを信頼して、クエリ内容の大部分を信用することになります。この信頼が健全性と可用性について多くの問題を引き起こします。こうした信頼の性質から、DNSリゾルバは往々にして、DDoS攻撃の反射/増幅ポイントとして使用されます。攻撃者は、オープンリゾルバへのDNSクエリ送信において送信元IPアドレスを偽装し、応答が元のクエリの25~50倍のサイズで攻撃先サーバーへと送信されます。7月4日以降のhttps://dnsscan.shadowserver.org/の統計では、約970万のオープンリカーシブサーバーがインターネット上にあったことを示しています。DNSクエリの内容に対する信頼から、前述の増幅ポイントと攻撃者の能力の両方によって、大量の不要なクエリ(www.123456789myfavoritestore.comなど)から成るDDoS攻撃を権威サーバーに送ることが可能になります。